Una nueva versión del troyano Neurevt con capacidades de spyware y backdoor fue descubierta por Cisco Talos, la unidad de inteligencia en seguridad de la compañía. Esta versión busca principalmente enfocarse en los usuarios de instituciones financieras mexicanas.

¿Qué es lo nuevo?

Aunque Neurevt ha existido por un tiempo, análisis recientes basados en la telemetría de la solución Cisco Secure Endpoint muestran que los actores combinaron este troyano con capacidad de spyware y backdoors. Según lo reportado, la versión de Neurevt mostró múltiples funcionalidades.

Lo que el troyano hace, después de instalarse, es básicamente robar el nombre de usuario y password utilizados en los sitios financieros a los que accede y puede también enfocarse en otro tipo de información que contenga.

Por ello los usuarios de la banca en línea en México deben ser cautelosos cuando utilizan su computadora, acceden a su correo electrónico y abren documentos adjuntos. Adicionalmente, es indispensable estar alerta al visitar sitios que no conozca, ya que pueden ser potencialmente peligrosos.

Asimismo, es importante que las organizaciones y también los usuarios tengan sus sistemas actualizados con los últimos parches de seguridad para los sistemas operativos y las aplicaciones, incluyendo los motores de análisis de antimalware. Pasar por alto las actualizaciones representa un riesgo para el usuario pues  en realidad éstas le ayudan en el proceso de protección de su información. 

Entre otras medidas se recomienda a los usuarios:

• Asegurarse que tienen actualizados sus sistemas incluyendo el escaneo de antimalware, sistemas operativos y aplicaciones.
• Deshabilitar la ejecución automática de scripts del navegador.
• Evitar accesar a sitios web que descargan sus contenidos en el sistema de archivos de la computadora, éstos pueden estar infectados e instalarse en el equipo sin percatarnos.
• Se recomienda habilitar la autenticación multifactor para incrementar el nivel de seguridad

Con el fin de mitigar el riesgo de infección y robo de datos, las organizaciones y sus responsables de ciberseguridad, pueden tomar  medidas proactivas como son el restringir el acceso de los usuarios a sitios web sospechosos y detener la descarga de contenidos maliciosos. Cabe destacar que Talos fomenta la implementación del control de acceso basado en roles para el uso de herramientas administradas de Windows, la política de ejecución de PowerShell y el bloqueo de direcciones IP, dominios y tráfico de red sospechosos de C2 (Command and Control).

Yair Lelis, Director de Seguridad de Cisco México.